Gelöst - Caddy startet nicht mehr seit dem letzten Update auf 25.1.10

[Schnuffel2008]

Also,

so steht das Zertifikat im Caddyfile:
{
   tls /var/db/caddy/data/caddy/certificates/temp/677413917419a.pem /var/db/caddy/data/caddy/certificates/temp/677413917419a.key {
   }
Und diese Dateien stehen nun auch im entsprechenden Ordner.
Vorher hat das wie gesagt nicht gepasst.
Auf dem Bild ist angehangen wie es in der GUI aussieht.

[Monviech (Cedrik)]

Sieht eigendlich ok aus.

Was ich mir vorstellen kann ist dass diese Zertifikate automatisch gelöscht und neu angelegt wurden mit einer anderen Nummer.

Wenn dabei nicht geprüft wird ob das Zertifikat im Modell z.B an einer anderen Stelle genutzt wird, dann wird es falsche Referenzen in der Configuration geben und es kommt zu sowas in Caddy passiert ist.

Nächstes Mal Frage ich gleich nach der Caddy Validate Taste die es in Diagnostics gibt, hab vergessen dass ws die gibt xD

Ich kann denke ich kann aber nicht verhindern dass dies passieren kann.

Die Modularität des Plugin Systems hat vor und Nachteile.

Danke und schönen Abend. :)

[Patrick M. Hausen]

Frage: warum ist das CA-Zertifikat in Caddy überhaupt konfiguriert? Wenn der Handler ein Backend-System kontaktiert, das man selbst kontrolliert, dann ist doch schnurz, von welcher CA das Zertifikat ist.

Ich fahre die Mehrheit meiner Anwendungen, die eingehend durch Caddy laufen, sogar ganz absichtlich ohne jede Verschlüsselung. Das macht ja der Caddy. Und wenn ich mal was debuggen muss, hab ich Klartext. Und in einem switched Netz, in dem die OPNsense mit Caddy und alle anderen Systeme in derselben Layer-2-Infrastruktur hängen, kann da auch niemand mitschnüffeln, es sein, es hackt den Switch.

Just sayin' :-)

[Schnuffel2008]

Frage: warum ist das CA-Zertifikat in Caddy überhaupt konfiguriert? Wenn der Handler ein Backend-System kontaktiert, das man selbst kontrolliert, dann ist doch schnurz, von welcher CA das Zertifikat ist.

Ich kenne mich leider zu wenig aus. Verstehe ich Deine Frage richtig, dass ich meine ganzen Geräte/Server auch ohne das ACME-Zertifikat über https und ohne Fehlermeldung mittels Caddy ansprechen kann. Wie müsste ich das konfigurieren?
Und wenn hier schon die Profis unterwegs sind, dann gleich noch ne Frage. Let's encrypt unterstützt ja jetzt auch ip-zertifikate. Könnte man damit auch endlich alle seine server direkt über die ip-Adresse mittels https aufrufen (also zB https://192.168.1.1) oder funktioniert das nur für die öffentliche Adresse und wie funktioniert das.

[Patrick M. Hausen]

Du musst zwischen der externen Kommunikation und dem Backend Caddy --> realer Server unterscheiden. Natürlich willst du extern alles, was auf Caddy terminiert, mit SSL versorgen. Das macht der ja auch ganz prima.

Aber im Backend zwischen Caddy und dem Server brauchst du SSL eigentlich nicht. Und wenn es "nunmal da" ist, dann kannst du in Caddy m.E. auch darauf verzichten, die CA zu überprüfen, oder überhaupt, ob das Zertifikat öffentlich gültig ist. Dafür gibt es ja eine Checkbox, hab die Bezeichnung gerade nicht im Kopf.

Wenn ich dein Problem richtig verstanden habe, startet Caddy nicht wegen eines in einem Handler konfigurierten CA-Zertifikats. Wenn das stimmt, dann war meine erste Frage gerade eben: weshalb ist das überhaupt so konfiguriert?

[Schnuffel2008]

Okay,
wie gesagt ich bin ja nur Laie und da sucht man sich für solche doch schon etwas komplizierten Themen halt Hilfe im Forum in den Amleitungen und nauch sonst was man noch finden kann.
Ich hatte als erstes den Handler für die OPNsense selbst erstellt und ich glaube irgendwo gelesen zu haben, dass dort die Konfiguration mit dem Zertifikat angegeben war. Aber Du hast Recht, wenn ich den E6-Client bei TLS Trust Pool rausnimmt, dann geht es genauso ohne Probleme.
Ist ja gut zu wissen und ich habe wieder etwas gelernt.
Aber eine Möglichkeit die IP-Nummern über https ohne Warnmeldung im Browser zu erreichen gibt es wohl nicht, oder?